Manchmal ist gut gemeint das Gegenteil von gut. Das trifft insbesondere in der grenzenlosen Welt des Internets zu, in der es immer wieder gute Ideen gibt, ein Problem zu lösen. Auf den zweiten Blick ist diese Idee dann vielleicht nur noch halb so gut. Oder, und darum soll es heute gehen, die Idee ist eigentlich immer noch gut, nur in Deutschland aufgrund der Gesetzeslage nicht erlaubt oder zumindest kritisch zu betrachten. Nicht alles, wofür es ein Plugin gibt, darf auch in Deutschland eingesetzt werden. Die bekanntesten „Gesetzesbrecher“ zeige ich im heutigen Beitrag zum #projekt52.
Vorab: ich bin kein Jurist, sondern fasse hier (ohne Anspruch auf Vollständigkeit oder Korrektheit) zusammen, was ich in der Vergangenheit zu dem Thema zusammengetragen habe.
Gegen den Spam mit Akismet
Fangen wir mit dem Klassiker an: Akismet ist ein Plugin, dass bei jeder WordPress-Installation von Anfang an mitinstalliert ist. Das mag suggerieren, dass man es in Deutschland auch nutzen darf. Darf man aber nicht – zumindest nicht einfach so.
Millionenfach ist das Plugin weltweit installiert und kämpft gegen Spam-Kommentare. Die Idee dahinter ist gut: der Kommentartext wird zusammen mit den anderen eingegebenen Daten an einen Server in die USA geschickt, der dann eine Analyse des Inhalts macht und daraufhin zurückmeldet, ob es sich um Spam handelt oder nicht. Der Vorteil der Analyse auf einem externen Server: die Daten können ggf. performanter analysiert werden, zumindest jedoch kann der Hersteller des Systems (übrigens Automattic selbst) in aller Kürze die Analyse-Programmierung anpassen. Würde die Analyse auf dem Server der Website erfolgen, müsste für eine Anpassung des Analyse-Algorithmus das Plugin aktualisiert werden.
Allerdings sieht das deutsche Gesetz den besonderen Schutz personenbezogener Daten vor. Und die sind schon gegeben, wenn ein Text zusammen mit Name und E-Mail-Adresse sowie IP-Adresse an einen externen Server geschickt werden, insbesondere, wenn der in den USA steht. Die USA werden als Drittland mit nicht ausreichendem Datenschutz angesehen.
Somit ist die Verwendung von Akismet so ohne Weiteres in Deutschland nicht erlaubt. Um Akismet einsetzen zu dürfen, benötigt man von jedem Kommentator die Einwilligung, die eingegebenen Daten in die USA senden zu dürfen. Dabei reicht ein einfacher Hinweis in der Datenschutzerklärung nicht aus, es muss ein echter Opt-In sein (zum Beispiel setzen einer Checkbox).
Es bietet sich dazu das Plugin „Akismet Privacy Policy“ von Inpsyde an, welches die nötigen Anforderungen nachrüstet.
Spam-Alternative Antispam Bee
Eine häufig genannte Alternative zu Akismet ist Antispam Bee. Aber auch hier gilt: Vorsicht ist die Mutter der Porzellankiste.
Hauptunterschied zwischen beiden Plugins ist, dass Antispam Bee die eingegebenen Kommentare auf dem lokalen Server prüft. Dabei kann es dann, wie in den vergangenen Wochen geschehen, dazu kommen, dass einiger Spam nicht erkannt wird, weil die Erkennungsregeln dazu nicht schnell genug aktualisiert werden können.
Trotzdem ist Antispam Bee nicht sicher vor der Datenschutzkeule. Auch in diesem Plugin schlummern ein paar Einstellungen (die standardmässig nicht aktiv sind), die aus Datenschutzsicht kritisch sein können.
- Öffentliche Spamdatenbank berücksichtigen: Diese Option sendet die IP-Adresse des Kommentators an eine öffentliche Datenbank, um zu prüfen, ob dieser schon einmal auffällig geworden ist. Die IP-Adresse gilt als personenbezogenes Datum, weswegen diese Option in Deutschland nicht benutzt werden darf.
- Bestimmte Länder blockieren bzw. erlauben: Damit klar ist, aus welchem Land der Kommentar stammt, wird die IP-Adresse an einen externen Dienst geschickt, der aus der Adresse das Land ermittelt. Da hier nur die gekürzte, also anonymisierte, Adresse an den externen Dienst weitergeleitet wird, ist diese Einstellung in Deutschland möglich.
- Kommentare nur in einer Sprache zulassen: Um die Sprache des Kommentars zu ermitteln, wird der Kommentartext an Google übermittelt. Andere Daten sind nicht Bestandteil der Übermittlung. Prinzipiell also eher unkritisch für den Datenschutz, jedoch kann der Kommentartext ja persönliche Inhalte enthalten. Ebenso geht die Übermittlung in die USA (Google-Server), weswegen ich diese Option vermutlich eher nicht nutzen würde. Ich bin aber kein Jurist und würde mich freuen, wenn jemand Fachkundiges (gerne in den Kommentaren) dazu Stellung nimmt.
Update 9.5.2018: Im Zuge der DSGVO findet auch dieser Beitrag wieder Beachtung. Wie Simon Kraft in einem Blogbeitrag ausführt, sendet Antispam Bee nur die ersten drei Wörter des Kommentars zur Sprachermittlung und ist somit tatsächlich auch unproblematisch in der Benutzung.
Die Funktion „Öffentliche Spamdatenbank berücksichtigen“ soll in der kommenden Version 2.8 von Antispam Bee entfernt werden.
Sicherheit gegen Login-Attacken
Ein weiterer großer Bereich von Plugins mit eventuellen Datenschutz-Problemen ist der Sicherheitsbereich, genauer der Bereich mit Plugins gegen Brute-Force-Attacken auf den Login. Dabei handelt es sich um wiederholte Versuche, sich mit immer neuen Passwörtern Zugang zum System zu verschaffen. Diese Angriffe erfolgen häufig von Bots, also Maschinen, die dies tausendfach am Tag auf hunderten Websites probieren.
Was liegt also näher, als die IP-Adresse desjenigen, der sich versucht einzuloggen mit einer weltweiten Datenbank abzugleichen? Sind von dieser IP-Adresse hunderte falsche Logins auf anderen Websites bekannt, wird der Angreifer direkt geblockt ohne die Möglichkeit weiterer Login-Versuche zu haben.
Ein Plugin, welches genau diese Lösung anbietet ist „Brute Protect“.
2014 wurde der Hersteller von Automattic gekauft, weswegen diese Funktion nun Teil von Jetpack ist.
Da es in der Natur der Technik liegt, dass die ganze IP-Adresse zur Überprüfung übermittelt werden muss (und nicht nur ein anonymisierter Teil) und dies verbunden ist mit weiteren Informationen (Zeitpunkt, Seite mit Login-Versuch, ggf. Benutzername des Login-Versuchs), sind dies wieder personenbezogene Daten. Diese dürfen nicht ohne Einverständnis ind ie USA übermittelt werden. Da das Einverständnis beim Login fehlt, darf diese Funktion in Deutschland nicht genutzt werden. (Weitere Infos zu anderen Jetpack-Funktionen siehe unten)
Selbiges gilt ebenso für die ähnlich funktionierende Funktion im Sicherheitsplugin „iThemes Security“.
Nicht davon betroffen ist die lokale Brute-Force-Schutz-Funktion, denn diese sendet keine Daten an andere, externe Systeme.
Besucher-Statistiken (Google Analytics, Piwik, Jetpack)
Und weiter gehts im Minenfeld. Relativ bekannt ist die Notwendigkeit, Daten zu anonymisieren, bei der Nutzung von Besucher-Statistiken, allen voran Google Analytics. Neben einem Hinweis in der Datenschutzerklärung, muss die IP-Adresse des Besuchers anonymisiert, also gekürzt, übermittelt werden. Dazu gibt es eine reicht einfache Einstellmöglichkeit für Analytics, die auch alle mir bekannten Analytics-Plugins bieten.
Auch bei allen anderen Benutzerstatistiken, die auf fremden Servern erzeugt werden, ist dies notwendig. Das trifft natürlich auch auf die OpenSource-Alternative Piwik zu. Auch hier ist ebenso ein Hinweis in der Datenschutzerklärung notwendig.
Auch das oben bereits erwähnte Jetpack hat eine Funktion für Besucherstatistiken, die Daten in die USA übermittelt. Die IP-Adressen werden anonymisiert, weswegen der Dienst zwar wohl genutzt werden darf, aber natürlich nur mit Hinweis in der Datenschutzerklärung.
Um ohne eigene anwaltliche Hilfe eine vernünftige Datenschutzerklärung zu erzeugen, empfehle ich den Datenschutz-Generator von Thomas Schwenke.
Sonst noch was?
Sicherlich gibt es noch viele weitere Beispiele, bei denen Plugins Funktionen anbieten, die bei genauerer Betrachtung nicht datenschutz-konform in Deutschland eingesetzt werden können. Bei diversen anderen (als den oben beschriebenen) Jetpack-Funktionen bin ich mir da zum Beispiel nicht sicher.
Generell rate ich dazu, im Zweifel anwaltlichen Rat (vom Fachanwalt) einzuholen oder das Plugin oder die Funktion nicht zu verwenden. Grundsätzlich ist es sinnvoll, die Funktionalität kritisch zu hinterfragen.
Über weitere Beispiele, Gegenbeispiele oder Richtigstellungen freue ich mich in den Kommentaren. 😉
Du hast zweifellos recht, aber das ist in der Praxis für Hobby-Blogger doch gar nicht praktikabel. Es wird höchste Zeit, dass die deutsche Rechtsprechung in Sachen Internet mal ins 21. Jahrhundert ankommt. Datenschutz ist gut, aber der nahezu paranoide Umgang damit, genauso wie die florierende „Abmahnindustrie“ hierzulande halte ich für wenig konstruktiv.
Hi,
ich hätte mal eine Frage wie man das in der kostenlosen wordpress.com umsetzen kann. Oder ist das gar nicht möglich?
Ich kann da ja keine Plug – Ins hinzufügen und Akismet und Konsorten ja auch irgendwie nicht entfernen.
Ist es überhaupt noch möglich kostenlos und rechtskonform zu bloggen?
Ich wäre für alle Tipps dankbar 😀
Schonmal vielen Dank
MfG
Thomas
Hallo Thomas,
ich bin weder Jurist, noch kenne ich mich mit WordPress.com aus. Meiner Meinung nach kannst du dein Blog dort nur datenschutzkonform nutzen, wenn du möglichst viel der problematischen Funktionen abschaltest und für den Rest deine Datenschutzerklärung entsprechend anpasst. Allerdings solltest du im Zweifelsfall einen Anwalt kontaktieren.
Ich persönlich halte die Möglichkeiten eines selbstgehosteten WordPress für deutlich besser und ebenso sehr günstig zu erreichen.
Danke für den Hinweis, daß man mit Antispambee Länder-IPs sperren kann.
Man kann sogar Sprachen für Kommentare sperren. Also typische Späm-Sprachen wie Englisch, Russisch und Chinesisch sperren.
Hab ich gar nicht gewußt.
„Auch das oben bereits erwähnte Jetpack hat eine Funktion für Besucherstatistiken, die Daten in die USA übermittelt. Die IP-Adressen werden anonymisiert, weswegen der Dienst zwar wohl genutzt werden darf,…“
Ich suche schon eine Weile nach der Quelle für die Information, dass die IP-Adressen anonymisiert von Jetpack übermittelt werden. Hast Du einen Link für mich?
Vielen Dank und viele Grüße,
Thyra
Hallo Thyra,
der Artikel ist schon recht alt und leider auch in anderen Bereichen nicht mehr aktuell und korrekt. Leider kann ich auch nicht mehr nachvollziehen, woher die Info mit den anonymisierten IP-Adressen kam. In aktuellen Datenschutzhinweisen zu Jetpack von Auttomatic fehlt dieser Hinweis auf jeden Fall. Siehe: https://jetpack.com/support/for-your-privacy-policy/ (im Bereich WordPress.com Stats)
Mittlerweile denke ich, dass eine Nutzung der WordPress.com Stats in Bezug auf alle DSGVO-Regeln eigentlich nicht mehr möglich bzw. rechtens sein dürfte. Das ist aber keine juristische Einschätzung, dazu fehlt mir die Expertise. 😉
Danke für die Tipps. Welches Plugin für die Sicherheit, das mit einer 2 Faktor Authentifizierung versehen ist und einigermaßen datenschutzkonform ist, könntest du mir empfehlen?
Hallo Khoa, für 2FA empfehlen wir immer ein Feature-Plugin, d.h. ein Plugin, welches dafür entwickelt wird, später ggf. mal in den Core von WordPress übernommen zu werden.
Das Plugin heisst „Two Factor“ – https://wordpress.org/plugins/two-factor/